Web 攻防之业务安全：Session会话固定测试.

Web 攻防之业务安全：Session会话固定测试.

业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库，中间件等）、业务系统自身（软件或设备）、业务所提供的服务安全；狭义的业务安全指业务系统自有的软件与服务的安全。

---

目录：

Session会话固定测试：

测试原理和方法：

测试过程：

第一步：在已登录授权验证的页面，点击退出系统.

第二步：使用Burp Suite 工具对本次退出系统的请求数据进行拦截，对本次授权的 Session ID 值进行记录备份.

第三步：退出系统后，再次重新登录系统.

第四步：使用Burp Suite 工具对本次登录系统的请求数据进行拦截，并将本次登录与上次登录授权的Session ID 值进行比较，判断是否相同。

修复建议：

---

免责声明：

严禁利用本文章中所提到的技术进行非法攻击，否则后果自负，上传者不承担任何责任。

---

Session会话固定测试：

测试原理和方法：

Session 是应用系统对浏览器客户端身份验证的属性标识，在用户退出应用系统时，应将客户端Session 认证属性标识清空。如果未能清空客户端 Session 标识，在下次登录系统时，系统会重复利用该 Session 标识进行认证会话。如果攻击者可以利用该漏洞产生固定的 Session 会话，并诱骗用户利用攻击者产生的固定会话进行系统登录，从而导致用户会话认证被盗取。

---

测试过程：

在注销退出系统时，对当前浏览器授权 Session ID 值进行记录。再次登录系统，将本次授 Session ID 值与以上次进行比对校验，判断服务器是否使用与上次相同的 Session ID 值进行授权认证，若使用相同的 Session ID 值 则存在固定会话风险.

第一步：在已登录授权验证的页面，点击退出系统.

---

第二步：使用Burp Suite 工具对本次退出系统的请求数据进行拦截，对本次授权的 Session ID 值进行记录备份.

---

第三步：退出系统后，再次重新登录系统.

---

第四步：使用Burp Suite 工具对本次登录系统的请求数据进行拦截，并将本次登录与上次登录授权的Session ID 值进行比较，判断是否相同。

---

修复建议：

在客户端登录系统时，应首先判断客户端是否提交浏览器的留存 Session 认证会话属性标识。客户端提交此信息至服务器时，应及时销毁浏览器留存的 Session 认证会话。并要求客户端浏览器重新生成 Session 认证会话属性标识.

   

    

学习的书籍：Web 攻防之业务安全实战指南.